Professional Documents
Culture Documents
Pallares, Daniel.
dpallares_78@hotmail.com
Universidad del Norte
I. INTRODUCCIN
El creciente uso de Internet y las tecnologas web
como plataforma para todo tipo de aplicaciones,
tanto corporativas como de uso pblico ha trado
consigo el problema de la poca madurez de estas
tecnologas para la seguridad de las aplicaciones,
con un sinnmero de vulnerabilidades que aparecen
a un ritmo alarmante y que de inmediato son
aprovechadas para realizar actos maliciosos. Una de
estas vulnerabilidades es llamada Falsificacin de
peticiones en sitios cruzados, abreviada CSRF o
XSRF por sus siglas en ingls. Esta vulnerabilidad
se conoce desde el ao 2001 [1] y debido a la
facilidad con que puede ser explotada se ha vuelto
un problema de seguridad muy importante. En
palabras sencillas, con CSRF un atacante puede
realizar acciones sobre un sitio web, utilizando la
autenticacin de un usuario vlido del sitio. Esto lo
consigue engaando al usuario para que ejecute
cdigo malicioso (escondido en enlaces, etiquetas
de imgenes y correos electrnicos entre otros) que
enva peticiones al servidor de la aplicacin desde el
computador del usuario vlido. Estas peticiones son
aceptadas por la aplicacin ya que provienen de un
navegador confiable, ejecutando las acciones
requeridas.
B. Etiquetas HTML
Muchos de los ataques CSFR se generan
insertando URLs con comandos especficos en
etiquetas HTML que tienen una funcin distinta,
pero que son explotadas debido a que generan
peticiones automticas al servidor web, las cuales
no son verificadas en su contexto. Ejemplos de estas
etiquetas son img, body, input, link, script, table,
etc. Un ejemplo utilizando la etiqueta img se
muestra abajo. Se puede observar que el enlace no
apunta a una imagen sino a una aplicacin.
<img src=https://b2b.tld/app/del?item=123>